产业互联网时代,一款产品只要击中用户心中的某个角落,就能在比特世界里激起共鸣,变身众人追捧的“网红”。初创公司对年轻人喜好的变化更加敏感,时不时就能涌现出一些“爆款”产品。但它们往往因为网络安全建设薄弱,难以应对突然暴涨的流量,和随之而来的网络攻击。
近日语音社交软件ClubHouse一度风靡全球,广泛热议之下却被曝出存在信息泄露风险。
一、曝出信息泄露风险,ClubHouse急速降温
ClubHouse在产品体验上有点像中国互联网初期的BBS语音聊天室,用户可以在软件内开设公开或私密的语音聊天室。不同的是,ClubHouse的聊天室内不允许发送视频或文字,也无录音回放功能。普通用户可以进入自己感兴趣的聊天室,但除非举手并被主持人允许否则不能发言。
ClubHouse之所以在美国受到关注,很大程度是因为它戳中了疫情下的社交需求。而科技圈顶流马斯克“亲自带货”则帮助它顺利“破圈”。严格的邀请码注册制,让ClubHouse走红后变得一码难求,激起了不少用户的攀比心理,进一步起到了推波助澜的作用。
然而高歌猛进的同时,ClubHouse却被泼了两盆冷水:
内容检测乏力,屡次出现风险内容
作为一个开放的网络交流空间,用户可以在ClubHouse聊天室内发起各种话题的讨论,当中极可能混有涉黄、涉暴等敏感信息,对网络环境的纯净造成威胁。由于缺乏有效的内容检测机制,ClubHouse屡次出现讨论风险内容的房间。
同时,ClubHouse的内容检测确实存在一定挑战。语音是相对非结构化的数据,审核难度比较大,方言、口音等都会对内容审核的准确性造成考验。更重要的是,直播形式对内容审核的实时性提出了极高要求,人工审核根本无法胜任。
因此,近年来运用大数据和人工智能算法的智能审核产品越来越受到关注。以腾讯安全的内容安全产品为例,利用AI和大数据技术,腾讯安全天御不仅能实时过滤音频内容,还能对恶意文本、图像、视频等内容进行毫秒级的精准识别。
音频对话被上传到第三方平台,泄露原因不明
日前,ClubHouse发言人Reema Bahnasy透露,一位身份不明的ClubHouse用户在未经允许的情况下,将多个房间的音频对话上传到了第三方平台。但其并未披露具体泄露了哪些数据,以及是因为什么原因导致的数据泄露。
有研究表明,ClubHouse的用户ID和聊天室ID为明文传输,可能遭遇恶意监听,聊天室的音频可能被暂存在服务器。默认情况下,App的用户端并不存储音频录音数据,运营者也未对聊天内容做管理。
从以上资料判断,作为初创公司,ClubHouse团队并未在信息安全方面做好充分准备。本次信息泄露事件,并不清楚是源于ClubHouse被攻击,还是其他原因。泄露数据的人可能只是同步做了录音,对部分聊天室的ID做了分析。仅靠ClubHouse安装在用户手机上的App,并不能阻止用户同步使用录音设备。
对于ClubHouse这样的初创团队来说,专家建议在客户端和服务器的通信进行加密传输,降低数据被窃听的风险。服务端应该采取有效措施防止黑客入侵,保护客户注册信息、联系人信息、聊天室音频数据等关键数据安全。
二、网络安全已成为初创公司的重要软肋
像ClubHouse这样经历爆火之后,因为网络安全问题热度直线下跌的产品,近年来并不少见。2019年8月,一款“换脸”App刷屏了不少人的朋友圈。使用这款APP,用户仅需上传一张自拍照,就可以化身影视片段中的主角,体验演员的乐趣。这一功能瞬间引发大量网友尝试及转发,在社交网络上形成病毒式传播。不过,这款软件很快就因为App用户隐私协议不规范,存在数据泄露风险等网络安全问题引发争议。
2020年初,受新冠肺炎疫情影响,远程办公需求暴增,某主打多人视频会议的协作工具站上了风口,不仅全球用户数量激增,而且市值逆势上扬,较一年前IPO时翻了两倍,一时间风头无两。不曾想,几个月后这款视频会议软件接二连三地被曝出安全漏洞,并遭到SpaceX和NASA 内部禁用。甚至被警告提醒用户使用该视频会议软件时注意网络安全问题,不要在社交媒体上广泛分享会议链接,以防机密信息被黑客获取。一场网络安全危机,让其错失了市场扩张的最佳时机。
面对频发的网络安全事件,“安全左移”已经成为越来越多人的共识。腾讯副总裁丁珂更是直言,要把网络安全建设作为一把手工程重点关注,在生产流程中把安全建设前置。然而现实中,企业刚推出一款产品时,由于前景尚不明朗,往往不愿意花大力气进行网络安全建设;等到产品爆火时安全能力无法及时跟上,导致安全问题频发,给企业和品牌形象造成巨大损失,甚至彻底失去突围的机会。某种程度而言,网络安全问题已经成了初创公司的重要软肋,决定了它未来发展的天花板。
三、云原生安全,初创公司的安全最优解
云原生安全是当前网络安全领域的热点话题。云原生安全作为一种新兴的安全理念,不仅解决了云计算普及带来的安全问题,更强调以原生的思维构建云上安全建设、部署与应用,推动安全与云计算深度融合。
云原生安全理念将安全能力内置于云平台中,实现云化部署、数据联通、产品联动,可以充分利用安全资源,降低安全解决方案使用成本,实现真正意义上的普惠安全。对于各方面资源尚不充足的初创公司来说,云原生安全不但能以较低的成本满足产品启动初期的安全需求,还可以在产品用户数急速增长时及时跟上需求的变化,堪称初创公司的安全最优解。
诸多优势下,云原生安全近年来已成为了国内各大安全厂商争相发力的目标。以腾讯安全为例,围绕云原生安全,腾讯安全已搭建起了包含安全治理、数据安全、应用安全、计算安全、网络安全等五个领域的完备云原生安全防护体系。去年疫情期间,腾讯安全云原生安全体系支撑腾讯会议快速扩容,取得8天云主机扩容10万台、上线2个月日活突破1000多万、100天更新20个版本的成绩。
对于初创企业而言,安全并非成功的充分条件,但一定是最不可或缺的必要条件。过去,安全对初创企业有着不小的门槛,而云原生安全时代让它们变得触手可及。
来源:freebuf.com 2021-03-11 19:10:05 by: 腾讯安全
请登录后发表评论
注册